GPG Suite: GPGMail 2.7b2 bringt macOS Sierra-Unterstützung
von caschy | 11 Kommentare
Ich schrieb es schon in meinem Beitrag zur Wiederauferstehung des nach eigenen Aussagen sicheren und stark verschlüsselnden Anbieters Lavabit: Verschlüsselung ist vielen Menschen wichtig. Sie wollen ihre Daten nicht einfach offen irgendwo im Netz lagern, da die Angst zu groß ist, dass Dritte Einsicht haben. Das große Problem ist halt: Verschlüsselung ist oft nichts für die Masse. Zu kompliziert. Vielleicht nicht für Leser dieses Blogs – aber für viele andere.
In Sachen Mail-Verschlüsselung gibt es einige Lösungen, unbestritten dürfte die GPG-Suite zu den bekanntesten Open Source-Angeboten auf der macOS-Plattform gehören. GPGTools ist der Hersteller der freien und quelloffenen GPG Suite, die bislang aber offiziell keine Unterstützung für macOS Sierra erfahren hat.
Es existierte eine Beta für einen geschlossenen Benutzerkreis, die nun erschienene GPG Suite 2017.1b2 ist allerdings für jeden nutzbar und kann ab sofort heruntergeladen werden. Sie bringt GPGMail für macOS Sierra mit.
Dennoch gilt: Das Ganze ist eine Beta und vielleicht mit Vorsicht zu genießen.
Wird geladen ...
Ich hab‘ noch nie eine verschlüsselte e-Mail erhalten. In über 30 Jahren nicht. Wenn ich eine bekäme, würde ich sie schlicht löschen. Weil ich sie nicht lesen kann. Aber wie gesagt – reine Theorie. Ist noch nie passiert. Und wird auch weiterhin nicht passieren.
Vieles scheitert doch auch an der mobilen Nutzung. Da bleibt am Schluss eigentlich nur S/MIME übrig. Zertifikate gibt es für umsonst bzw. wenig Geld, aber und das ist der Knackpunkt: nur 1 bzw. max. 3 Jahre gültig! Dadurch leider keine Lösung, die man dem DAU mal eben einrichtet und dann von alleine läuft. Wenn man damit zurecht kommt, funktioniert es auch unter iOS ganz gut und man kann jeweils wählen, ob man nur signieren oder auch verschlüsseln will. Wichtig ist dann eben nur, dass man sich die alten/abgelaufenen Zertifikate speichert oder eben erst gar keine Mails im Mailprogramm lässt, sondern alles als PDF o.ä. raus sichert.
@silentcircle2016
Du bekommst genau genommen auch schon heute ausschließlich verschlüsselte Mails.
Der einzige Unterschied ist, dass die Mails nur mit einer symmetrischen Transportverschlüsselung (meist SSL / TLS) versehen sind. Davon bekommst du herzlich wenig mit, da das Aushandeln der Schlüssel komplett ohne dein Zutun passiert. Außerdem ist der Schlüssel in der Hand deines Mail-Providers, was die Mail prinzipiell für staatliche Organe lesbar macht.
Dieses Sicherheitslevel genügt für private Kommunikation völlig und ist auch für unverfängliche Geschäftskorrespondenz absolut ausreichend.
Wenn es um Informationen geht, die besser nicht in fremde Hände fallen sollen (Geschäftsgeheimnisse, aktuelle Entwicklungen, finanzielle Interna, aber auch Informationen, die dich in repressiven Gesellschaften angreifbar machen können, etc. pp.) willst du aber schon etwas mehr Sicherheit. Die Infrastruktur für eine recht sichere S/MIME-Verschlüsslung kannst du dir als Kleinunternehmen oder gar als Privatperson faktisch nicht leisten. Da bleibt dir nur PGP.
Privat hab ich zugegebenermaßen auch nur wenig mit verschlüsselten Mails zu tun. Ich kommuniziere privat auch nur selten per Mail. Instant Messager, das schnöde Telefonat oder das persönliche Gespräch sind da viel häufiger die Mittel der Wahl.
Auf Arbeit verschicken wir allerdings kaum noch unverschlüsselte Mails. S/MIME und PGP sind da eher der Normalfall. Nach extern wird per Company-Policy keine einzige Mail unverschlüsselt versendet. Wenn der Empfänger keine verschlüsseltem Mails empfangen kann, also kein öffentlicher Schlüssel gefunden wird, geht die Mail gar nicht erst raus. Das ist zwar mitunter unbequem, stellt aber sicher, dass Firmeninterna auch nicht versehentlich unverschlüsselt durch’s Internet gejagt werden.
Ach übrigens…
Dass du noch nie eine verschlüsselte Mail bekommen hast, liegt daran, dass du keine Mail-Verschlüsselung nutzt.
Denn wie soll man eine Mail an dich verschlüsseln, ohne einen öffentlichen Schlüssel von dir?
@Billy
Mobile Mail-Verschlüsselung ist ohne zentrale Zertifikatsverwaltung die Hölle. Das will doch keiner machen.
Das ist auch der generelle Punkt kontra Mail-Verschlüsselung. Sie erfordert entweder eine vertrauenswürdige Infrastruktur (teuer) oder extrem viel Gefrickel und Handarbeit (umständlich). Selbst so vergleichsweise anwenderfreundliche Tools wie die GPG Suite würde ich keinem Laien ohne mehrstündige Einweisung überlassen wollen.
@Micha Es macht einfach keiner. Und bei den Inhalten, die ich so bekomme, ist es ohnehin egal.
Es ist schon bitter, dass Apple das nicht unterstützt, nicht mal indirekt. Wenigstens die Schnittstellen offenlegen sollten sie. So wie es jetzt ist dauert es immer 4-5 Monate nach MacOS-Upgrade, bis gpgtools das kann.
Ich kann auch erst jetzt sinnvoll auf Sierra upgraden.
@Micha,
nicht nur ist das nervig, unter iOS zumindest sind die großen Probleme ganz andere:
1. Es gibt keine Open Source-Lösung dafür und seinen privaten Schlüssel in einen BLOB zu laden ist eher so meh.
2. Selbst wenn es da was geben würde, kann man das ja nicht selber kompilieren sondern wäre darauf angewiesen, dass eine vertrauenswürdige Quelle das schön ordentlich auf einer Maschine kompiliert, die sauber ist und im App Store einreicht, damit die das dann wiederum als BLOB veröffentlichen können.
Geht so…
Kleine Warnung am Rande.
Nach dem Update auf macOS 10.12.4 Public Beta 1 wurde das GPGMail-Plugin aufgrund von Kompatibilitätsproblemen direkt wieder deaktiviert.
@x00
Das sieht unter Windows Phone kaum anders aus und unter Android Mailverschlüsselung zu nutzen ist wie bei fehlendem Zaun trotzdem das Gartentor abzuschließen.
Für den einfachen Privatanwender gibt es leider auf keiner mobilen Plattform wirklich sinnvoll nutzbare Lösungen. Und mir ganz nur für mich privat ’nen MDM-Server in die Hütte stellen, sprengt irgendwie ganz dezent den Rahmen.
Es geht nicht um die Übertragungswege. Die mögen ja sicher sein (Stichwort SSL/TLS). Hat sich jemand schon einmal klar gemacht, dass digitale Daten, die von A nach B geschickt werden, unter Umständen auf etlichen Servern zwischengespeichert werden (müssen)? Ich denke mal, dass der direkte Web (A sendet, B empfängt) der seltenste ist. Jedes Zwischenspeichern bedeutet aber, dass dort mitgelesen werden kann – ob absichtlich oder „aus Versehen“, ist egal. Genausogut können dort Kopien angefertigt werden. usw.. Das ewige Mantra, die Verschlüsselung via GnuPG/PGP sei soooo kompliziert, wird immer wieder von faulen Menschen vorgeschoben, die zu faul sind. Einmal eingerichtet, funktioniert das Ganze bestens.
Vertrauen ist gut, Kontrolle ist besser. Nichts im Leben ist umsonst. Etwas „kümmern“ muss man sich schon…